L'outil de récupération du système Scalpel a supprimé des fichiers et des dossiers sous Linux. Cet outil est utilisé pour récupérer les fichiers système, c'est un outil open source pour les systèmes d'exploitation Linux. Pour la récupération des données supprimées, il s'agit avant tout d'un fork mis à jour, bien que plus rapide et plus efficace pour le suivi et la recherche de modèles de fichiers.
Scalpel utilise une base de données qui stocke les modèles d'octets de fichiers connus, identifie les fichiers supprimés et les récupère instantanément. Il arrive souvent que par accident ou par erreur système, des informations soient demandées à partir de fichiers ou de dossiers importants. Scalpel est un outil qui nous permet de restaurer des informations que vous avez éventuellement supprimées. Lorsque nous supprimons des informations, le système d'exploitation ne supprime généralement que les métadonnées du fichier, telles que le nom de fichier, le propriétaire et l'emplacement. Les données utilisateur restent sur le support de stockage jusqu'à ce qu'elles soient écrasées.
Scalpel analyse un disque ou un périphérique de stockage à la recherche de modèles d'octets qui répondent aux en-têtes et pieds de fichiers de fichiers, de cette manière, il essaiera de récupérer les données appartenant au fichier. Scalpel peut détecter différents types de fichiers. Il prend en charge différentes structures de disque et formats de fichiers pour cela, il utilise une base de données avec des en-têtes et des pieds de page de fichiers avec des règles d'expression pour détecter le format qu'il peut récupérer.
De nombreuses distributions ont Scalpel dans leurs référentiels, bien que ce soit une bonne idée de garder Scalpel à jour pour ajouter de nouvelles expressions régulières pour les en-têtes et les pieds de page des fichiers. Scalpel offre des performances de numérisation à grande vitesse, pendant l'exploration, il lit une base de données d'en-tête et de pied de page des formats de fichiers et extrait les fichiers qui correspondent à un ensemble de définitions et d'expressions régulières d'un périphérique.
Scalpel prend en charge les formats de disque à partir de partitions FAT, NTFS, ext2 ou brutes. Il est utile à la fois pour les enquêtes médico-légales numériques et la récupération de fichiers. Cet outil fait partie de Seulkit qui s'intègre à Autopsy que nous avons vu dans le didacticiel sur l'analyse médico-légale des disques durs et des partitions avec Autopsy.
Pour l'installer, nous pouvons aller dans une fenêtre de terminal et écrire le code suivant :
sudo apt-get install scalpel
Ensuite, nous devons configurer le scalpel pour cela, nous pouvons localiser le fichier d'installation à l'aide de la commande suivante :
où est le scalpel
Ensuite, nous ouvrons le fichier avec un éditeur de texte tel que nano ou vi. Par défaut, toutes les lignes d'expressions sont commentées avec # dans le fichier de configuration. Dans le fichier de configuration scalpel.conf, certaines lignes contiennent les types de fichiers que nous pouvons récupérer. Par exemple jpg.webp, png, doc, etc.
AttentionAvant d'exécuter Scalpel, nous devons décommenter le format de fichier que nous voulons que Scalpel récupère.
Ici, nous décommentons les extensions de fichiers que nous voulons que Scalpel recherche, si elles ne sont pas commentées, ces fichiers seront ignorés.
Une étape importante, si nous trouvons une erreur lors de l'exécution, nous devons créer manuellement le /et/dossier scalpel et à l'intérieur copier le fichier scalpel.conf.
Ensuite, nous exécutons scalpel à partir de son dossier, nous indiquons le dossier où les fichiers récupérés sont enregistrés.
scalpel -c /etc/scalpel/scalpel.conf/dev/sda -o test
Dans l'image, nous pouvons voir comment 16 Go ont été récupérés sur seulement 3% du disque total. Le paramètre -o est sorti, il indique un répertoire de sortie, dans lequel vous souhaitez restaurer les fichiers supprimés. Nous devons vérifier que ce répertoire est vide avant d'exécuter une commande, sinon cela nous donnera une erreur.
Scalpel lancera le processus d'analyse et, en fonction de l'espace disque ou périphérique que vous essayez d'analyser et de récupérer, la récupération des fichiers supprimés peut prendre beaucoup de temps.
Si nous voulons récupérer des données à partir d'une clé USB ou d'un périphérique externe, nous devons savoir quelle est la partition via le commande fdsikS'il s'agit d'une clé USB ou d'une mémoire flash, elle sera généralement située en tant que partition sdb.
scalpel -c /etc/scalpel/scalpel.conf/dev/sdb -o recu
Dans le dossier, un fichier appelé audit.txt est enregistré, qui contient des informations sur l'ensemble du processus et les fichiers récupérés.
Dans ce cas, nous pouvons voir que les fichiers png ont été récupérés à partir de la clé USB et nous les avons disponibles dans le dossier que nous appelons recu. L'un des utilitaires de Scalpel consiste à copier le contenu d'un périphérique externe USB cassé ou défectueux et à créer une image disque img ou dd, afin que nous puissions le voir à partir d'un autre logiciel ou le monter, le code pour générer l'image disque est le suivant :
scalpel -c -c /etc/scalpel/scalpel.conf / dev / sdb -o récupéré.ddScalpel est idéal pour le travail de serveur avec Centos pour récupérer les fichiers de la fenêtre du terminal à distance. Scalpel fonctionne sur d'autres distributions Linux orientées serveur, notamment :
- Chapeau rouge
- Feutre
- Debian.
L'un des inconvénients de Scalpel est qu'il faut très bien connaître la structure d'un disque ou d'un périphérique de stockage et les commandes pour gérer ses partitions, ainsi que le fonctionnement du système de fichiers.
Chaque fichier supprimé reste quelque part sur votre disque dur. étant le système d'exploitation celui qui maintient un pointeur vers la liste des blocs du périphérique de stockage qui contient les données des fichiers,
Normalement, sous Windows, nous avons de nombreux outils très simples à utiliser, tels que Recuva, qui sert à récupérer les données perdues, mais sous Linux, seulement quelques-uns si nous voulons les utiliser au niveau du serveur avec sécurité.
Scalpel parcourt tout le disque dur, fonctionne très bien avec les périphériques de stockage externes et récupère les fichiers perdus selon des expressions régulières, ce qui le rend très polyvalent.